UNIONIN TUOMIOISTUIMEN TUOMIO (kolmas jaosto)

11 päivänä huhtikuuta 2024(*)

Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus (EU) 2016/679 – 82 artikla – Oikeus korvaukseen vahingosta, joka on aiheutunut tämän asetuksen vastaisesta tietojenkäsittelystä – Aineettoman vahingon käsite – Aiheutuneen vahingon vakavuuden vaikutus – Rekisterinpitäjän vastuu – Mahdollinen vastuusta vapautuminen, jos 29 artiklassa tarkoitettu rekisterinpitäjän alaisuudessa toimiva henkilö on tehnyt virheen – Korvauksen määrän arviointi – 83 artiklassa säädettyjä hallinnollisia seuraamusmaksuja koskevia edellytyksiä ei voida soveltaa – Arviointi, jos kyseistä asetusta on rikottu useita kertoja

Asiassa C‑741/21,

jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Landgericht Saarbrücken (Saarbrückenin alueellinen alioikeus, Saksa) on esittänyt 22.11.2021 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 1.12.2021, saadakseen ennakkoratkaisun asiassa

GP

vastaan

juris GmbH,

UNIONIN TUOMIOISTUIN (kolmas jaosto),

toimien kokoonpanossa: jaoston puheenjohtaja K. Jürimäe sekä tuomarit N. Piçarra ja N. Jääskinen (esittelevä tuomari),

julkisasiamies: M. Campos Sánchez-Bordona,

kirjaaja: A. Calot Escobar,

ottaen huomioon kirjallisessa käsittelyssä esitetyn,

ottaen huomioon huomautukset, jotka sille ovat esittäneet

–        GP, edustajanaan H. Schöning, Rechtsanwalt,

–        juris GmbH, edustajinaan E. Brandt ja C. Werkmeister, Rechtsanwälte,

–        Irlanti, asiamiehinään M. Browne, Chief State Solicitor, sekä A. Joyce ja M. Lane, avustajanaan D. Fennelly, BL,

–        Euroopan komissio, asiamiehinään A. Bouchagiar, M. Heller ja H. Kranenborg,

päätettyään julkisasiamiestä kuultuaan ratkaista asian ilman ratkaisuehdotusta,

on antanut seuraavan

tuomion

1        Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1) 82 artiklan 1 ja 3 kohdan, luettuna yhdessä tämän asetuksen 29 ja 83 artiklan kanssa, sekä kyseisen asetuksen 85 ja 146 artiklan tulkintaa.

2        Tämä pyyntö on esitetty asiassa, jossa vastakkain ovat luonnollinen henkilö GP ja Saksaan sijoittautunut juris GmbH ‑yhtiö ja jossa on kyse niiden vahinkojen korvaamisesta, joita GP väittää kärsineensä sen vuoksi, että hänen henkilötietojaan on käsitelty suoramarkkinointitarkoituksissa GP:n mainitulle yhtiölle esittämistä markkinointikielloista huolimatta.

 Asiaa koskevat oikeussäännöt

3        Yleisen tietosuoja-asetuksen johdanto-osan 85, 146 ja 148 perustelukappaleessa todetaan seuraavaa:

”(85)      Jos henkilötietojen tietoturvaloukkaukseen ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua luonnollisille henkilöille fyysisiä, aineellisia tai aineettomia vahinkoja, kuten omien henkilötietojen hallitsemiskyvyn menettäminen tai omien oikeuksien rajoittaminen, syrjintää, identiteettivarkaus tai petos, taloudellisia menetyksiä, pseudonymisoinnin luvaton purkautuminen, maineen vahingoittuminen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetys tai muuta merkittävää taloudellista tai sosiaalista vahinkoa. – –

– –

(146)      Rekisterinpitäjän tai henkilötietojen käsittelijän olisi korvattava luonnollisille henkilöille vahingot, jotka ovat aiheutuneet tietojenkäsittelystä, jossa on rikottu tätä asetusta. Rekisterinpitäjä tai henkilötietojen käsittelijä olisi vapautettava korvausvelvollisuudesta, jos se osoittaa, ettei se ole millään tavalla vastuussa kyseisestä vahingosta. Vahingon käsite olisi tulkittava laajasti unionin tuomioistuimen oikeuskäytännön perusteella ja tavalla, jossa tämän asetuksen tavoitteet otetaan kaikilta osin huomioon. Tämä ei vaikuta korvausvaatimuksiin, jotka johtuvat unionin oikeuden tai jäsenvaltion lainsäädännön muiden sääntöjen rikkomisesta. – – Rekisteröityjen olisi saatava täysi ja tosiasiallinen korvaus aiheutuneesta vahingosta. – –

– –

(148)      Tämän asetuksen sääntöjen täytäntöönpanon vahvistamiseksi asetuksen säännösten rikkomisesta olisi määrättävä seuraamuksia, kuten hallinnollisia seuraamusmaksuja – –. Rikkomisen luonteeseen, vakavuuteen ja kestoon, sen tahallisuuteen, aiheutuneen vahingon lieventämiseksi toteutettuihin toimiin, vastuun asteeseen tai mahdollisiin vastaaviin aiempiin rikkomisiin, tapaan, jolla rikkominen tuli valvontaviranomaisen tietoon, rekisterinpitäjälle tai henkilötietojen käsittelijälle määrättyjen toimenpiteiden noudattamiseen, käytännesääntöjen noudattamiseen ja mahdollisiin muihin raskauttaviin tai lieventäviin tekijöihin olisi kuitenkin kiinnitettävä asianmukaista huomiota. – –”

4        Tämän asetuksen 4 artiklassa, jonka otsikko on ”Määritelmät”, säädetään seuraavaa:

”Tässä asetuksessa tarkoitetaan

1)      ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja, – –

– –

7)      ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; – –

– –

12)      ’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin,

– –”

5        Mainitun asetuksen 5 artiklassa vahvistetaan joukko henkilötietojen käsittelyä koskevia periaatteita.

6        Yleisen tietosuoja-asetuksen III lukuun, jonka otsikko on ”Rekisteröidyn oikeudet”, sisältyvän 21 artiklan, jonka otsikko on ”Vastustamisoikeus”, 3 kohdassa säädetään seuraavaa:

”Jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen.”

7        Yleisen tietosuoja-asetuksen IV lukuun, jonka otsikko on ”Rekisterinpitäjä ja henkilötietojen käsittelijä”, sisältyvät asetuksen 24-43 artikla.

8        Mainitun asetuksen 24 artiklan, jonka otsikko on ”Rekisterinpitäjän vastuu”, 1 ja 2 kohdassa säädetään seuraavaa:

”1.      Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.

2.      Kun se on oikeasuhteista käsittelytoimiin nähden, 1 kohdassa tarkoitettuihin toimenpiteisiin kuuluu, että rekisterinpitäjä panee täytäntöön asianmukaiset tietosuojaa koskevat toimintaperiaatteet.”

9        Kyseisen asetuksen 25 artiklan, jonka otsikko on ”Sisäänrakennettu ja oletusarvoinen tietosuoja”, 1 kohdassa säädetään seuraavaa:

” Ottaen huomioon uusimman teknologian, toteuttamiskustannukset ja käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on sekä käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi, tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten, jotta tarvittavat suojatoimet saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.”

10      Yleisen tietosuoja-asetuksen 29 artiklassa, jonka otsikko on ”Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa”, säädetään seuraavaa:

” Henkilötietojen käsittelijä tai kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaadita.”

11      Kyseisen asetuksen 32 artiklassa, jonka otsikko on ”Käsittelyn turvallisuus”, säädetään seuraavaa:

”1.      Ottaen huomioon uusin teknologia, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten

– –

b)      kyky taata käsittelyjärjestelmien ja ‑palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;

– –

2.      Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.

– –

4.      Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava toimenpiteet sen varmistamiseksi, että jokainen rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaadita.”

12      Yleisen tietosuoja-asetuksen VIII luku, jonka otsikko on ”Oikeussuojakeinot, vastuu ja seuraamukset”, sisältää kyseisen asetuksen 77–84 artiklan.

13      Yleisen tietosuoja-asetuksen 79 artiklan, jonka otsikko on ”Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan”, 1 kohdassa säädetään seuraavaa:

” Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu tätä asetusta, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten oikeussuojakeinojen käyttöä, mukaan lukien 77 artiklaan perustuva oikeus tehdä kantelu valvontaviranomaiselle.”

14      Kyseisen asetuksen 82 artiklan, jonka otsikko on ”Vastuu ja oikeus korvauksen saamisen”, 1–3 kohdassa säädetään seuraavaa:

”1.      Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.

2.      Kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä on vastuussa vahingosta, joka on aiheutunut käsittelystä, jolla on rikottu tätä asetusta. – –

3.      Rekisterinpitäjä tai henkilötietojen käsittelijä on vapautettava vastuusta 2 kohdan nojalla, jos se osoittaa, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.”

15      Yleisen tietosuoja-asetuksen 83 artiklan, jonka otsikko on ”Hallinnollisten seuraamusmaksujen määräämisen yleiset edellytykset”, 2, 3 ja 5 kohdassa säädetään seuraavaa:

”2.      – – Kun päätetään hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat:

a)      rikkomuksen luonne, vakavuus ja kesto huomioon ottaen kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus, sekä niiden rekisteröityjen lukumäärä, joihin rikkomus vaikuttaa, ja heille aiheutuneen vahingon suuruus;

b)      rikkomuksen tahallisuus tai tuottamuksellisuus;

– –

k)      mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomuksesta suoraan tai epäsuorasti saadut mahdolliset taloudelliset edut tai rikkomuksella vältetyt tappiot.

3.      Jos rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen seuraamusmaksun kokonaismäärä ei saa ylittää vakavimmasta rikkomuksesta määrättyä seuraamusmaksua.

– –

5.      Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

a)      edellä 5, 6, 7 ja 9 artiklassa tarkoitetut käsittelyä koskevat perusperiaatteet, mukaan lukien suostumuksen edellytykset;

b)      rekisteröityjen 12–22 artiklan mukaiset oikeudet;

– –”

16      Tämän asetuksen 84 artiklan, jonka otsikko on ”Seuraamukset”, 1 kohdassa säädetään seuraavaa:

”Jäsenvaltioiden on säädettävä muista tämän asetuksen rikkomisesta aiheutuvista seuraamuksista erityisesti niitä tilanteita varten, joihin ei sovelleta 83 artiklan mukaisia hallinnollisia seuraamusmaksuja, sekä toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Tällaisten seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.”

 Pääasia ja ennakkoratkaisukysymykset

17      Pääasian kantaja, joka on asianajajan ammattia itsenäisenä ammatinharjoittajana harjoittava luonnollinen henkilö, oli oikeudellista tietokantaa ylläpitävän juriksen asiakas.

18      Saatuaan tietää, että juris käytti hänen henkilötietojaan myös suoramarkkinointitarkoituksiin, pääasian kantaja peruutti 6.11.2018 kirjallisesti kaikki suostumuksensa saada kyseiseltä yhtiöltä tietoja sähköpostitse tai puhelimitse ja kielsi näiden tietojen käsittelyn lukuun ottamatta ”newsletters”-lähetyksiä, joita hän halusi edelleen vastaanottaa.

19      Tästä toimenpiteestä huolimatta pääasian kantaja sai tammikuussa 2019 kaksi mainosesitettä, jotka oli lähetetty hänen nimellään hänen toimipaikkansa osoitteeseen. Hän muistutti jurisille 18.4.2019 lähettämässään kirjeessä aikaisemmasta kaikenlaista markkinointia koskevasta kiellosta ja ilmoitti, että näiden esitteiden laatiminen oli johtanut hänen henkilötietojensa lainvastaiseen käsittelyyn, sekä vaati jurisia korvaamaan hänelle aiheutuneen vahingon yleisen tietosuoja-asetuksen 82 artiklan nojalla. Saatuaan uuden mainosesitteen 3.5.2019 hän uudisti kieltonsa, joka tällä kertaa annettiin tiedoksi jurisille haastemiehen välityksellä.

20      Kussakin esitteessä oli ”henkilökohtainen testikoodi”, joka mahdollisti pääsyn juriksen internetsivustolla olevaan kyseisen yhtiön tuotetilauslomakkeeseen, joka sisälsi pääasian kantajaa koskevia mainintoja, minkä notaari on viimeksi mainitun pyynnöstä todennut 7.6.2019.

21      Pääasian kantaja nosti Landgericht Saarbrückenissä (Saarbrückenin alueellinen alioikeus, Saksa), joka on nyt käsiteltävässä asiassa ennakkoratkaisua pyytänyt tuomioistuin, kanteen, jossa hän vaatii yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan nojalla korvausta aineellisesta vahingosta, joka liittyy haastemiehen ja notaarin kuluihin, sekä hänelle aiheutuneesta aineettomasta vahingosta. Hän väittää muun muassa, että menettänyt omien henkilötietojensa hallitsemiskyvyn sen vuoksi, että juris on käsitellyt näitä tietoja vastustuksestaan huolimatta, ja että hän voi saada tällä perusteella korvauksen ilman, että hänen olisi osoitettava Euroopan unionin perusoikeuskirjan 8 artiklassa taattujen ja kyseisessä asetuksessa täsmennettyjen oikeuksiensa loukkauksen vaikutukset tai vakavuus.

22      Puolustuksekseen juris kiistää kaiken vastuun vedoten siihen, että se oli ottanut käyttöön markkinointikieltojen hallinnointijärjestelmän ja että se, että pääasian kantajan kiellot otettiin huomioon liian myöhään, johtuu joko siitä, että yksi sen työntekijöistä ei ollut noudattanut annettuja ohjeita, tai siitä, että näiden kieltojen huomioon ottaminen olisi ollut kohtuuttoman kallista. Se väittää, että pelkkä yleisestä tietosuoja-asetuksesta johtuvan velvollisuuden, kuten sen 21 artiklan 3 kohdasta johtuvan velvoitteen, rikkominen ei voi sellaisenaan merkitä kyseisen asetuksen 82 artiklan 1 kohdassa tarkoitettua vahinkoa.

23      Ennakkoratkaisua pyytänyt tuomioistuin lähtee ensinnäkin olettamasta, jonka mukaan yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa säädetty oikeus korvaukseen edellyttää kolmen edellytyksen täyttymistä eli kyseisen asetuksen rikkomista, aineellista tai aineetonta vahinkoa sekä tämän rikkomisen ja vahingon välistä syy-yhteyttä. Lisäksi kun otetaan huomioon pääasian kantajan vaatimukset, se pohtii, onko kuitenkin katsottava, että yleisen tietosuoja-asetuksen rikkominen yksinään merkitsee aineetonta vahinkoa, joka oikeuttaa korvaukseen, erityisesti silloin, kun tämän asetuksen rikotulla säännöksellä annetaan rekisteröidylle subjektiivinen oikeus. Koska Saksan oikeudessa asetetaan aineettoman vahingon rahallisen korvauksen edellytykseksi vaatimus suojattujen oikeuksien vakavasta loukkaamisesta, kyseinen tuomioistuin pohtii lopuksi, onko yleisen tietosuoja-asetukseen perustuviin korvausvaatimuksiin sovellettava vastaavaa rajoitusta, kun otetaan huomioon kyseisen asetuksen johdanto-osan 85 ja 146 perustelukappaleessa esitetyt vahingon käsitteeseen liittyvät tiedot.

24      Toiseksi kyseinen tuomioistuin pitää mahdollisena, että yleisen tietosuoja-asetuksen 82 artiklasta seuraa, että kun tämän asetuksen rikkominen on todettu, rikkomisen katsotaan johtuvan rekisterinpitäjästä, joten sen oletetaan olevan tuottamukseen perustuvassa vastuussa tai jopa ankarassa vastuussa. Korostettuaan, että kyseisen artiklan 3 kohdassa ei täsmennetä mainitussa kohdassa säädettyyn vapautukseen konkreettisesti liittyviä näyttövaatimuksia, se toteaa lisäksi, että jos rekisterinpitäjä voisi vapautua vastuustaan vetoamalla vain yleisin sanakääntein yhden työntekijänsä virheelliseen menettelyyn, tämä rajoittaisi huomattavasti kyseisen artiklan 1 kohdassa säädetyn korvausta koskevan oikeuden tehokasta vaikutusta.

25      Kolmanneksi ennakkoratkaisua pyytänyt tuomioistuin haluaa erityisesti tietää, että kun arvioidaan yleisen tietosuoja-asetuksen 82 artiklan nojalla aiheutuneesta vahingosta, erityisesti aineettomasta vahingosta, maksettavan rahallisen korvauksen määrää, voidaanko ottaa tai onko otettava huomioon kyseisen asetuksen 83 artiklan 2 ja 5 kohdassa säädetyt arviointiperusteet hallinnollisten seuraamusmaksujen määrästä päättämiseksi myös mainitun 82 artiklan yhteydessä.

26      Neljänneksi ja viimeiseksi kyseinen tuomioistuin toteaa, että sen käsiteltäväksi saatetussa asiassa pääasian kantajan henkilötietoja on käsitelty useita kertoja suoramarkkinointitarkoituksiin asianomaisen toistuvista kielloista huolimatta. Se pyrkii siis selvittämään, onko tällaiset yleisen tietosuoja-asetuksen useat rikkomiset otettava huomioon yksilöllisesti vai kokonaisuutena kyseisen asetuksen 82 artiklan nojalla mahdollisesti maksettavan korvauksen määrän vahvistamiseksi.

27      Näissä olosuhteissa Landgericht Saarbrücken on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

”1)      Onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa tarkoitettua aineettoman vahingon käsitettä tulkittava kyseisen asetuksen johdanto-osan 85 perustelukappaleen ja 146 perustelukappaleen kolmannen virkkeen perusteella siten, että se kattaa kaikenlaisen suojattuun oikeusasemaan puuttumisen riippumatta siitä, mitä muita vaikutuksia tällaisella puuttumisella on ja miten merkittävää se on?

2)      Onko yleisen tietosuoja-asetuksen 82 artiklan 3 kohdan mukainen vahingonkorvausvastuu suljettu pois sen perusteella, että rikkomus johtuu kyseisen asetuksen 29 artiklassa tarkoitetun rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimivan henkilön inhimillisestä virheestä yksittäistapauksessa?

3)      Onko aineettomasta vahingosta myönnettävän korvauksen määrää määritettäessä sallittua tai aiheellista käyttää yleisen tietosuoja-asetuksen 83 artiklassa ja erityisesti 83 artiklan 2 ja 5 kohdassa mainittuja arviointiperusteita?

4)      Määritetäänkö vahingonkorvaus jokaisesta yksittäisestä rikkomuksesta erikseen vai määrätäänkö useista – ainakin useista samankaltaisista – rikkomuksista kokonaiskorvaus, jota ei määritetä laskemalla yhteen yksittäisiä määriä vaan arvioimalla tilannetta kokonaisuutena?”

 Ennakkoratkaisukysymysten tarkastelu

 Ensimmäinen kysymys

 Tutkittavaksi ottaminen

28      Ensinnäkin juris väittää, että ensimmäinen kysymys on jätettävä tutkimatta siltä osin kuin sillä pyritään selvittämään, edellyttääkö yleisen tietosuoja-asetuksen 82 artiklassa säädetyn korvausta koskevan oikeuden syntyminen sitä, että rekisteröidyn väittämä vahinko, sellaisena kuin se on määritelty kyseisen asetuksen 4 artiklan 1 alakohdassa, on vakavuudeltaan tietynasteinen. Tällä kysymyksellä ei ole jurisin mukaan merkitystä pääasian ratkaisemisen kannalta, koska vahinkoa, johon pääasian kantaja vetoaa, eli se, että hän on menettänyt omien henkilötietojensa hallitsemiskyvyn, ei ole tapahtunut, koska näitä tietoja on käsitelty lainmukaisesti osana tämän oikeusriidan osapuolten välistä sopimussuhdetta.

29      Tässä yhteydessä on huomautettava, että yksinomaan kansallisen tuomioistuimen, jossa asia on vireillä ja joka vastaa annettavasta ratkaisusta, tehtävänä on asian erityispiirteiden perusteella harkita, onko ennakkoratkaisu tarpeen asian ratkaisemiseksi ja onko sen unionin tuomioistuimelle esittämillä kysymyksillä merkitystä asian kannalta, jolloin olettamana on, että niillä on merkitystä. Jos siis esitetty kysymys koskee unionin oikeussäännön tulkintaa tai pätevyyttä, unionin tuomioistuimella on lähtökohtaisesti velvollisuus vastata siihen, paitsi jos on ilmeistä, että pyydetyllä unionin oikeuden tulkitsemisella ei ole mitään yhteyttä pääasian tosiseikkoihin tai kohteeseen, jos kyseinen ongelma on luonteeltaan hypoteettinen tai jos unionin tuomioistuimella ei ole tiedossaan niitä tosiseikkoja ja oikeudellisia seikkoja, jotka ovat tarpeen, jotta se voisi antaa hyödyllisen vastauksen sille esitettyyn kysymykseen (tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 23 kohta oikeuskäytäntöviittauksineen).

30      Nyt käsiteltävässä asiassa ensimmäinen kysymys koskee yleisen tietosuoja-asetuksen 82 artiklassa säädetyn korvauksen saamista koskevan oikeuden käyttämiselle asetettuja edellytyksiä. Ei myöskään ole ilmeistä, että pyydetyllä tulkinnalla ei olisi yhteyttä pääasiaan tai että esiin tuotu ongelma olisi luonteeltaan hypoteettinen. Yhtäältä kyseinen oikeusriita koskee nimittäin vahingonkorvausvaatimusta, joka kuuluu yleisellä tietosuoja-asetuksella käyttöön otettuun henkilötietojen suojajärjestelmään. Toisaalta tällä kysymyksellä pyritään selvittämään, onko kyseisessä asetuksessa säädettyjen vastuusääntöjen soveltamisen kannalta tarpeen paitsi se, että rekisteröidylle on aiheutunut kyseisen asetuksen rikkomisesta erillinen vahinko, myös se, että tämä vahinko ylittää tietyn vakavuuskynnyksen.

31      Ensimmäinen kysymys on siten otettava tutkittavaksi.

 Asiakysymys

32      Ennakkoratkaisua pyytänyt tuomioistuin kysyy ensimmäisellä kysymyksellään, onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että tämän asetuksen sellaisten säännösten rikkominen, joilla annetaan oikeuksia rekisteröidylle, merkitsee sellaisenaan kyseisessä säännöksessä tarkoitettua aineetonta vahinkoa riippumatta rekisteröidylle aiheutuneen vahingon vakavuusasteesta.

33      Aluksi on huomautettava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa säädetään, että ”jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta”.

34      Unionin tuomioistuin on jo tulkinnut yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa siten, että pelkkä kyseisen asetuksen rikkominen ei riitä antamaan oikeutta korvauksen saamiseen, koska aineellisen tai aineettoman vahingon aiheutuminen on yksi tietosuoja-asetuksen 82 artiklan 1 kohdassa säädetyn korvauksen saamista koskevan oikeuden kolmesta kumulatiivisesta edellytyksestä samoin kuin ne, että kyseistä asetusta on rikottu ja että vahingon ja rikkomisen välillä on syy-yhteys (ks. vastaavasti tuomio 25.1.2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, 58 kohta oikeuskäytäntöviittauksineen).

35      Näin ollen henkilön, joka esittää vahingonkorvausvaateen tämän säännöksen perusteella, on osoitettava paitsi tämän asetuksen säännösten rikkominen myös se, että tästä rikkomisesta on aiheutunut hänelle tällaista vahinkoa (ks. vastaavasti tuomio 25.1.2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, 60 ja 61 kohta oikeuskäytäntöviittauksineen).

36      Tästä on todettava, että unionin tuomioistuin on tulkinnut yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa siten, että se on esteenä kansalliselle oikeussäännölle tai käytännölle, jossa asetetaan kyseisessä säännöksessä tarkoitetun aineettoman vahingon korvaamisen edellytykseksi se, että rekisteröidylle aiheutunut vahinko on vakavuudeltaan tietynasteinen ja korostanut, että kyseisen henkilön on kuitenkin osoitettava, että asetuksen rikkominen on aiheuttanut hänelle tällaista aineetonta vahinkoa (ks. vastaavasti tuomio 25.1.2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, 59 ja 60 kohta oikeuskäytäntöviittauksineen).

37      Vaikka yleisen tietosuoja-asetuksen säännöksessä, jota on rikottu, annettaisiin oikeuksia luonnollisille henkilöille, tällainen rikkominen ei yksinään voi merkitä kyseisessä asetuksessa tarkoitettua aineetonta vahinkoa.

38      Yleisen tietosuoja-asetuksen 79 artiklan 1 kohdasta kyllä ilmenee, että jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai mahdollista henkilötietojen käsittelijää vastaan, jos rekisteröity katsoo, että ”hänen tähän asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu tätä asetusta”.

39      Tässä säännöksessä kuitenkin vain myönnetään muutoksenhakuoikeus henkilölle, joka katsoo, että hänelle yleisessä tietosuoja-asetuksessa annettuja oikeuksia on loukattu, mutta siinä ei vapauteta viimeksi mainittua hänelle kyseisen asetuksen 82 artiklan 1 kohdan nojalla kuuluvasta velvollisuudesta osoittaa, että hänelle on tosiasiallisesti aiheutunut aineellista tai aineetonta vahinkoa.

40      Tästä seuraa, että yleisen tietosuoja-asetuksen niiden säännösten rikkominen, joissa annetaan oikeuksia rekisteröidylle, ei sellaisenaan riitä perusteeksi aineelliselle oikeudelle saada korvausta kyseisen asetuksen nojalla, sillä mainitussa asetuksessa edellytetään, että myös tämän tuomion 34 kohdassa mainitut kaksi muuta tämän oikeuden edellytystä täyttyvät.

41      Nyt käsiteltävässä asiassa pääasian kantaja vaatii yleisen tietosuoja-asetuksen nojalla korvausta aineettomasta vahingosta eli siitä, että hän on menettänyt hallitsemiskyvyn henkilötietoihinsa, joita on käsitelty hänen kiellostaan huolimatta, ilman, että hänen tarvitsisi osoittaa, että tämä vahinko on ylittänyt tietyn vakavuuskynnyksen.

42      Tältä osin on todettava, että yleisen tietosuoja-asetuksen johdanto-osan 85 perustelukappaleessa mainitaan nimenomaisesti ”hallitsemiskyvyn menettäminen” yhtenä niistä vahingoista, joita henkilötietojen tietoturvaloukkauksesta voi aiheutua. Unionin tuomioistuin on lisäksi katsonut, että tällaisten tietojen hallitsemiskyvyn menettäminen jopa vain lyhytaikaisesti voi aiheuttaa rekisteröidylle yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa tarkoitetun aineettoman vahingon, joka on perusteena oikeudelle saada korvaus, sillä edellytyksellä, että rekisteröity osoittaa, että hänelle on tosiasiallisesti aiheutunut tällainen vahinko, vaikka se olisikin vähäinen (ks. vastaavasti tuomio 25.1.2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, 66 kohta oikeuskäytäntöviittauksineen).

43      Edellä esitetyn perusteella ensimmäiseen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa on tulkittava siten, että tämän asetuksen sellaisten säännösten rikkominen, joilla annetaan oikeuksia rekisteröidylle, ei sellaisenaan merkitse tässä säännöksessä tarkoitettua aineetonta vahinkoa riippumatta rekisteröidylle aiheutuneen vahingon vakavuusasteesta.

 Toinen kysymys

44      Ennakkoratkaisua pyytänyt tuomioistuin kysyy toisella kysymyksellään, onko yleisen tietosuoja-asetuksen 82 artiklaa tulkittava siten, että rekisterinpitäjän vapauttamiseksi vastuusta kyseisen artiklan 3 kohdan nojalla riittää, että rekisterinpitäjä vetoaa siihen, että kyseessä oleva vahinko on aiheutunut tämän asetuksen 29 artiklassa tarkoitetun rekisterinpitäjän alaisuudessa toimivan henkilön virheestä.

45      Tältä osin on huomautettava, että yleisen tietosuoja-asetuksen 82 artiklan 2 kohdassa säädetään, että kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä on vastuussa vahingosta, joka on aiheutunut käsittelystä, jolla on rikottu tätä asetusta, ja kyseisen artiklan 3 kohdassa säädetään, että rekisterinpitäjä on vapautettava tämän 2 kohdan mukaisesta vastuusta, jos se osoittaa, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.

46      Unionin tuomioistuin on jo katsonut, että kyseisen 82 artiklan 2 ja 3 kohdan tarkastelusta yhdessä ilmenee, että siinä säädetään tuottamukseen perustuvan vastuun järjestelmästä, jossa rekisterinpitäjän oletetaan osallistuneen käsittelyyn, joka merkitsee kyseessä olevaa tämän asetuksen rikkomista niin, että todistustaakka ei ole vahingon kärsineellä henkilöllä vaan rekisterinpitäjällä (ks. vastaavasti tuomio 21.12.2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 92–94 kohta).

47      Siitä, voidaanko rekisterinpitäjä vapauttaa vastuusta yleisen tietosuoja-asetuksen 82 artiklan 3 kohdan nojalla pelkästään sillä perusteella, että vahinko on aiheutunut asetuksen 29 artiklassa tarkoitetun rekisterinpitäjän alaisuudessa toimivan henkilön virheellisestä toiminnasta, on todettava, että yhtäältä kyseisestä 29 artiklasta ilmenee, että rekisterinpitäjän alaisuudessa toimivat henkilöt, kuten sen työntekijät, joilla on pääsy henkilötietoihin, voivat lähtökohtaisesti käsitellä näitä tietoja ainoastaan rekisterinpitäjän ohjeiden nojalla ja niiden mukaisesti (ks. vastaavasti tuomio 22.6.2023, Pankki S, C‑579/21, EU:C:2023:501, 73 ja 74 kohta).

48      Toisaalta yleisen tietosuoja-asetuksen 32 artiklan 4 kohdassa, joka koskee henkilötietojen käsittelyn turvallisuutta, säädetään, että rekisterinpitäjän on toteutettava toimenpiteet sen varmistamiseksi, että jokainen rekisterinpitäjän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaadita.

49      Rekisterinpitäjän työntekijä on luonnollinen henkilö, joka toimii rekisterinpitäjän alaisuudessa. Niinpä kyseisen rekisterinpitäjän on varmistettava, että sen työntekijät soveltavat sen ohjeita asianmukaisesti. Näin ollen rekisterinpitäjä ei voi vapautua vastuustaan yleisen tietosuoja-asetuksen 82 artiklan 3 nojalla pelkästään vetoamalla hänen alaisuudessaan toimivan henkilön huolimattomuuteen tai laiminlyöntiin.

50      Nyt käsiteltävässä asiassa juris väittää unionin tuomioistuimelle esittämissään kirjallisissa huomautuksissa, että rekisterinpitäjä olisi vapautettava vastuusta yleisen tietosuoja-asetuksen 82 artiklan 3 kohdan nojalla silloin, kun kyseessä olevan vahingon aiheuttanut rikkominen johtuu rekisterinpitäjän sellaisen työntekijän menettelystä, joka ei ole noudattanut kyseisen rekisterinpitäjän antamia ohjeita, ja siltä osin kuin tämä rikkominen ei johdu rekisterinpitäjän erityisesti kyseisen asetuksen 24, 25 ja 32 artiklassa vahvistettujen velvollisuuksien laiminlyönnistä.

51      Tältä osin on korostettava, että yleisen tietosuoja-asetuksen 82 artiklan 3 kohdassa säädettyyn vapautukseen liittyvät olosuhteet on rajoitettava yksinomaan olosuhteisiin, joissa mainittu rekisterinpitäjä voi osoittaa, että se ei ole vastuussa vahingosta (ks. vastaavasti tuomio 14.12.2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 70 kohta). Näin ollen siinä tapauksessa, että henkilötietojen tietoturvaloukkaukseen on syyllistynyt rekisterinpitäjän alaisuudessa toimiva henkilö, mainittu rekisterinpitäjä voi vapautua vastuustaan ainoastaan osoittamalla, ettei sillä kyseisen asetuksen 5, 24 ja 32 artiklan nojalla olevan suojeluvelvollisuuden mahdollisen loukkauksen ja rekisteröidyn kärsimän vahingon välillä ole minkäänlaista syy-yhteyttä (ks. analogisesti tuomio 14.12.2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 72 kohta).

52      Jotta rekisterinpitäjä voisi vapautua vastuusta yleisen tietosuoja-asetuksen 82 artiklan 3 kohdan nojalla, ei siis riitä, että se osoittaa antaneensa kyseisen asetuksen 29 artiklassa tarkoitetuille alaisuudessaan toimiville henkilöille ohjeita ja että yksi mainituista henkilöistä on laiminlyönyt velvollisuutensa noudattaa näitä ohjeita siten, että hän on myötävaikuttanut kyseessä olevan vahingon syntymiseen.

53      Jos nimittäin katsottaisiin, että rekisterinpitäjä voi vapautua vastuustaan vetoamalla pelkästään siihen, että sen alaisuudessa toimiva henkilö on laiminlyönyt velvoitteensa, tämä heikentäisi yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa vahvistetun korvausta koskevan oikeuden tehokasta vaikutusta, kuten ennakkoratkaisua pyytänyt tuomioistuin on todennut, eikä tämä olisi yhteensopivaa kyseisen asetuksen sen tavoitteen kanssa, jona on varmistaa luonnollisten henkilöiden suojelun korkea taso heidän henkilötietojensa käsittelyssä.

54      Edellä esitetyn perusteella toiseen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 82 artiklaa tulkittava siten, että rekisterinpitäjän vapauttamiseksi vastuusta kyseisen artiklan 3 kohdan nojalla ei riitä, että rekisterinpitäjä vetoaa siihen, että kyseessä oleva vahinko on aiheutunut tämän asetuksen 29 artiklassa tarkoitetun rekisterinpitäjän alaisuudessa toimivan henkilön virheestä.

 Kolmas ja neljäs kysymys

55      Ennakkoratkaisua pyytänyt tuomioistuin kysyy kolmannella ja neljännellä kysymyksellään, jotka on syytä tutkia yhdessä, onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että tämän säännöksen nojalla vahingosta maksettavan korvauksen määrän määrittämiseksi on yhtäältä sovellettava soveltuvin osin tämän asetuksen 83 artiklassa säädettyjä hallinnollisten seuraamusmaksujen määrän määritysperusteita ja toisaalta otettava huomioon se, että useat samaa käsittelytoimea koskevat kyseisen asetuksen rikkomiset vaikuttavat korvausta vaativaan henkilöön.

56      Ensinnäkin siltä osin kuin on kyse yleisen tietosuoja-asetuksen 83 artiklassa säädettyjen perusteiden mahdollisesta huomioon ottamisesta sen 82 artiklan nojalla maksettavan korvauksen määrän arvioimiseksi, on selvää, että näillä kahdella säännöksellä on eri tavoitteet. Kyseisen asetuksen 83 artiklassa nimittäin määritellään ”hallinnollisten seuraamusmaksujen määräämisen yleiset edellytykset”, kun taas kyseisen asetuksen 82 artiklassa säädetään ”vastuu[sta] ja oikeu[desta] korvauksen saamiseen”.

57      Tästä seuraa, että yleisen tietosuoja-asetuksen 83 artiklassa säädettyjä hallinnollisten seuraamusmaksujen määrän arviointiperusteita, jotka mainitaan myös kyseisen asetuksen johdanto-osan 148 perustelukappaleessa, ei voida käyttää kyseisen asetuksen 82 artiklan mukaisen vahingonkorvauksen määrän arvioimiseen.

58      Kuten unionin tuomioistuin on jo korostanut, yleisessä tietosuoja-asetuksessa ei ole säännöstä, joka koskisi kyseisen asetuksen 82 artiklassa vahvistetun korvauksen saamista koskevan oikeuden perusteella suoritettavan vahingonkorvauksen arviointia. Näin ollen kansallisten tuomioistuinten on tässä arvioinnissa menettelyllisen itsemääräämisoikeuden periaatteen nojalla sovellettava kunkin jäsenvaltion kansallisia oikeussääntöjä, jotka koskevat rahamääräisen korvauksen suuruutta, kunhan unionin oikeuden vastaavuus- ja tehokkuusperiaatteita, sellaisina kuin ne on määritetty unionin vakiintuneessa oikeuskäytännössä, noudatetaan (ks. vastaavasti tuomio 21.12.2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 83 ja 101 kohta oikeuskäytäntöviittauksineen ja tuomio 25.1.124, MediaMarktSaturn, C‑687/21, EU:C:2024:72, 53 kohta).

59      Tässä yhteydessä unionin tuomioistuin on korostanut, että yleisen tietosuoja-asetuksen 82 artiklan tehtävänä ei ole rankaiseminen vaan vahingon korvaaminen päinvastoin kuin muiden, yhtä lailla tämän asetuksen VIII luvussa olevien säännösten eli 83 ja 84 artiklan, joiden tarkoitus on puolestaan olennaisesti rangaista, koska niiden nojalla voidaan määrätä hallinnollisia seuraamusmaksuja ja muita seuraamuksia. Mainitussa 82 artiklassa vahvistettujen sääntöjen ja 83 ja 84 artiklassa vahvistettujen sääntöjen välinen suhde osoittaa, että näiden kahden säännösryhmän välillä on ero ja että ne täydentävät toisiaan siltä osin kuin on kyse kannustimista noudattaa yleistä tietosuoja-asetusta, kun otetaan huomioon, että jokaisen oikeus vaatia korvausta vahingosta vahvistaa kyseisessä asetuksessa säädettyjen suojasääntöjen toimivuutta ja on omiaan tekemään lainvastaisen toiminnan toistamisen vähemmän houkuttelevaksi (tuomio 25.1.2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, 47 kohta oikeuskäytäntöviitauksineen).

60      Lisäksi unionin tuomioistuin on päätellyt, että koska yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa säädetyn korvauksen saamista koskevalla oikeudella ei ole varoittavaa tai rankaisevaa tehtävää, väitetyn vahingon aiheuttaneen tämän asetuksen rikkomisen vakavuudella ei voi olla vaikutusta tämän säännöksen nojalla myönnettävän vahingonkorvauksen määrään. Tästä seuraa, että kyseistä määrää ei voida vahvistaa tämän vahingon täysimääräisen korvaamisen ylittävälle tasolle (ks. vastaavasti tuomio 21.12.2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 86 kohta).

61      Ottaen huomioon yleisen tietosuoja-asetuksen johdanto-osan 146 perustelukappaleen kuudennen virkkeen, jonka mukaan tämän asetuksen tarkoituksena on taata ”täysi ja tosiasiallinen korvaus aiheutuneesta vahingosta”, unionin tuomioistuin on todennut, että kun otetaan huomioon tämän asetuksen 82 artiklassa säädetyn korvauksen saamista koskevan oikeuden vahingonkorvaustehtävä, kyseiseen artiklaan perustuvaa rahamääräistä korvausta on pidettävä ”täytenä ja tosiasiallisena”, jos sillä voidaan korvata kyseisen asetuksen rikkomisesta konkreettisesti aiheutunut vahinko täysimittaisesti ilman, että tällainen täysimittainen korvaus edellyttäisi rangaistusluonteisten vahingonkorvausten määräämistä maksettavaksi (tuomio 21.12.2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 84 kohta oikeuskäytäntöviittauksineen).

62      Kun otetaan huomioon yleisen tietosuoja-asetuksen 82 artiklan, luettuna yhdessä sen johdanto-osan 146 perustelukappaleen kanssa, ja mainitun asetuksen 83 artiklan, luettuna yhdessä sen johdanto-osan 148 perustelukappaleen kanssa, sanamuodon ja tavoitteiden erot, ei voida katsoa, että kyseisessä 83 artiklassa nimenomaisesti mainittuja arviointiperusteita voitaisiin soveltaa soveltuvin osin kyseisen 82 artiklan yhteydessä siitä huolimatta, että näissä kahdessa säännöksessä säädetyt oikeussuojakeinot täydentävät toisiaan saman asetuksen noudattamisen varmistamiseksi.

63      Toiseksi siitä tavasta, jolla kansallisten tuomioistuinten on arvioitava rahallisen korvauksen määrä yleisen tietosuoja-asetuksen 82 artiklan nojalla tapauksissa, joissa samaan rekisteröityyn on kohdistunut useita tämän asetuksen rikkomisia, on aluksi korostettava, että – kuten tämän tuomion 58 kohdassa on mainittu – kunkin jäsenvaltion on vahvistettava perusteet tämän korvauksen määrän määrittämiseksi, kunhan unionin oikeuden tehokkuus- ja vastaavuusperiaatteita noudatetaan.

64      Kun otetaan huomioon, että yleisen tietosuoja-asetuksen 82 artiklan tehtävänä ei ole rankaiseminen vaan vahingon korvaaminen, mikä on todettu tämän tuomion 60 ja 61 kohdassa, se, että rekisterinpitäjä on syyllistynyt saman rekisteröidyn osalta useisiin rikkomisiin, ei voi olla merkityksellinen kriteeri arvioitaessa kyseiselle rekisteröidylle mainitun 82 artiklan nojalla myönnettäviä vahingonkorvauksia. Ainoastaan rekisteröidylle tosiasiallisesti aiheutunut vahinko on otettava huomioon määritettäessä maksettavan rahallisen korvauksen määrää.

65      Näin ollen kolmanteen ja neljänteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että tämän säännöksen nojalla vahingosta maksettavan korvauksen määrän määrittämiseksi ei yhtäältä sovelleta soveltuvin osin tämän asetuksen 83 artiklassa säädettyjä hallinnollisten seuraamusmaksujen määrän määritysperusteita eikä toisaalta oteta huomioon sitä, että useat samaa käsittelytoimea koskevat kyseisen asetuksen rikkomiset vaikuttavat korvausta vaativaan henkilöön.

 Oikeudenkäyntikulut

66      Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.

Näillä perusteilla unionin tuomioistuin (kolmas jaosto) on ratkaissut asian seuraavasti:

1)      Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 82 artiklan 1 kohtaa

on tulkittava siten, että

tämän asetuksen sellaisten säännösten rikkominen, joilla annetaan oikeuksia rekisteröidylle, ei sellaisenaan merkitse tässä säännöksessä tarkoitettua aineetonta vahinkoa riippumatta rekisteröidylle aiheutuneen vahingon vakavuusasteesta.

2)      Asetuksen 2016/679 82 artiklaa

on tulkittava siten, että

rekisterinpitäjän vapauttamiseksi vastuusta kyseisen artiklan 3 kohdan nojalla ei riitä, että rekisterinpitäjä vetoaa siihen, että kyseessä oleva vahinko on aiheutunut tämän asetuksen 29 artiklassa tarkoitetun rekisterinpitäjän alaisuudessa toimivan henkilön virheestä.

3)      Asetuksen 2016/679 82 artiklan 1 kohtaa

on tulkittava siten, että

tämän säännöksen nojalla vahingosta maksettavan korvauksen määrän määrittämiseksi ei yhtäältä sovelleta soveltuvin osin tämän asetuksen 83 artiklassa säädettyjä hallinnollisten seuraamusmaksujen määrän määritysperusteita eikä toisaalta oteta huomioon sitä, että useat samaa käsittelytoimea koskevat kyseisen asetuksen rikkomiset vaikuttavat korvausta vaativaan henkilöön.

Allekirjoitukset

*      Oikeudenkäyntikieli: saksa.